Võrku on ilmunud uus lunavara nimega Nemty, mis on väidetavalt GrandCrabi või Burani järglane. Pahavara levitatakse peamiselt võltsitud PayPali veebisaidilt ja sellel on mitmeid huvitavaid funktsioone. Üksikasjad selle lunavara toimimise kohta on alles.
Kasutaja avastas uue Nemty lunavara 7. september 2019. Pahavara levitati veebisaidi kaudu , on võimalik ka lunavaral läbi RIG exploit komplekti arvutisse tungida. Ründajad kasutasid sotsiaalse manipuleerimise meetodeid, et sundida kasutajat käivitama faili cashback.exe, mille ta sai väidetavalt PayPali veebisaidilt. Kurioosne on ka see, et Nemty määras kohaliku puhverserveri teenuse Tor jaoks vale pordi, mis takistab pahavara saatmist. andmed serverisse. Seetõttu peab kasutaja, kui ta kavatseb lunaraha maksta, ise krüpteeritud failid Tor võrku üles laadima ja ootama ründajatelt dekrüpteerimist.
Mitmed huvitavad faktid Nemty kohta viitavad sellele, et selle töötasid välja samad inimesed või Burani ja GrandCrabiga seotud küberkurjategijad.
- Nagu GandCrabil, on ka Nemtyl lihavõttemuna – link Venemaa presidendi Vladimir Putini fotole nilbe naljaga. Pärand GandCrabi lunavaral oli sama tekstiga pilt.
- Mõlema saate keeleartefaktid viitavad samadele vene keelt kõnelevatele autoritele.
- See on esimene lunavara, mis kasutab 8092-bitist RSA-võtit. Kuigi sellel pole mõtet: häkkimise eest kaitsmiseks piisab 1024-bitisest võtmest.
- Sarnaselt Buranile on lunavara kirjutatud Object Pascalis ja kompileeritud Borland Delphis.
Staatiline analüüs
Pahatahtliku koodi käivitamine toimub neljas etapis. Esimene samm on käivitada MS Windowsis PE32 käivitatav fail cashback.exe, mille suurus on 1198936 baiti. Selle kood on kirjutatud Visual C++-s ja kompileeritud 14. oktoobril 2013. See sisaldab arhiivi, mis pakitakse automaatselt lahti, kui käivitate faili cashback.exe. Tarkvara kasutab failide hankimiseks .cab arhiivist Cabinet.dll teeki ja selle funktsioone FDICreate(), FDIDEStroy() ja teisi.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Pärast arhiivi lahtipakkimist kuvatakse kolm faili.
Järgmisena käivitatakse temp.exe, PE32 käivitatav fail MS Windowsi all, suurusega 307200 baiti. Kood on kirjutatud Visual C++ keeles ja pakitud MPRESS packeriga, UPX-ile sarnase pakkijaga.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Järgmine samm on ironman.exe. Pärast käivitamist dekrüpteerib temp.exe manustatud andmed temp. ja nimetab need ümber ironman.exe-ks, 32-baidiseks PE544768 täitmisfailiks. Kood on koostatud Borland Delphis.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Viimane samm on faili ironman.exe taaskäivitamine. Käitusajal muudab see oma koodi ja käitab end mälust. See ironman.exe versioon on pahatahtlik ja vastutab krüptimise eest.
Rünnaku vektor
Praegu levitatakse Nemty lunavara veebisaidi pp-back.info kaudu.
Kogu nakkusahelat saab vaadata aadressil liivakast.
Paigaldamine
Cashback.exe – rünnaku algus. Nagu juba mainitud, pakib cashback.exe lahti selles sisalduva .cab-faili. Seejärel loob see kausta TMP4351$.TMP kujul %TEMP%IXxxx.TMP, kus xxx on arv vahemikus 001 kuni 999.
Järgmisena installitakse registrivõti, mis näeb välja järgmine:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Seda kasutatakse pakkimata failide kustutamiseks. Lõpuks käivitab cashback.exe temp.exe protsessi.
Temp.exe on nakkusahela teine etapp
See on protsess, mille käivitab fail cashback.exe, mis on viiruse käivitamise teine samm. See proovib alla laadida AutoHotKey, tööriist Windowsis skriptide käitamiseks, ja käivitada skripti WindowSpy.ahk, mis asub PE-faili ressursside jaotises.
Skript WindowSpy.ahk dekrüpteerib failis ironman.exe ajutise faili, kasutades RC4 algoritmi ja parooli IwantAcake. Parooli võti saadakse MD5 räsimisalgoritmi abil.
temp.exe kutsub seejärel protsessi ironman.exe.
Ironman.exe – kolmas samm
Ironman.exe loeb faili iron.bmp sisu ja loob järgmisena käivitatava krüptolukuga faili iron.txt.
Pärast seda laadib viirus faili iron.txt mällu ja taaskäivitab selle kui ironman.exe. Pärast seda fail iron.txt kustutatakse.
ironman.exe on NEMTY lunavara põhiosa, mis krüpteerib mõjutatud arvutis olevad failid. Pahavara loob mutexi nimega vihkamine.
Esimene asi, mida see teeb, on arvuti geograafilise asukoha kindlaksmääramine. Nemty avab brauseri ja uurib sisselülitatud IP-aadressi . Internetis [IP]/riiginimi Riik määratakse vastuvõetud IP-aadressi järgi ja kui arvuti asub mõnes allpool loetletud piirkonnas, peatub pahavara koodi täitmine:
- Venemaa
- Valgevene
- Ukraina
- Kasahstan
- Tadžikistan
Tõenäoliselt ei taha arendajad oma elukohariigi õiguskaitseorganite tähelepanu köita ega krüpteeri seetõttu faile oma "kodus" jurisdiktsioonis.
Kui ohvri IP-aadress ei kuulu ülaltoodud nimekirja, siis krüpteerib viirus kasutaja info.
Failide taastamise vältimiseks kustutatakse nende varikoopiad:
Seejärel loob see failide ja kaustade loendi, mida ei krüptita, ning faililaiendite loendi.
- aknad
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- jne
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- Bootmgr
- programmiandmed
- äppiandmed
- osoft
- Ühised failid
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Hägusus
URL-ide ja manustatud konfiguratsiooniandmete peitmiseks kasutab Nemty base64 ja RC4 kodeerimisalgoritmi märksõnaga fuckav.
Dekrüpteerimisprotsess CryptStringToBinary abil on järgmine
Krüpteerimine
Nemty kasutab kolmekihilist krüptimist:
- AES-128-CBC failide jaoks. 128-bitine AES-võti genereeritakse juhuslikult ja seda kasutatakse kõigi failide jaoks samamoodi. See salvestatakse kasutaja arvutis olevasse konfiguratsioonifaili. IV genereeritakse iga faili jaoks juhuslikult ja salvestatakse krüptitud faili.
- RSA-2048 failide krüptimiseks IV. Seansi jaoks luuakse võtmepaar. Seansi privaatvõti salvestatakse kasutaja arvutis olevasse konfiguratsioonifaili.
- RSA-8192. Avalik põhivõti on programmi sisse ehitatud ja seda kasutatakse konfiguratsioonifaili krüptimiseks, mis salvestab RSA-2048 seansi jaoks AES-võtme ja salajase võtme.
- Nemty genereerib esmalt 32 baiti juhuslikke andmeid. Esimesed 16 baiti kasutatakse AES-128-CBC võtmena.
Teine krüpteerimisalgoritm on RSA-2048. Võtmepaari genereerib funktsioon CryptGenKey() ja impordib funktsioon CryptImportKey().
Kui seansi võtmepaar on loodud, imporditakse avalik võti MS Cryptographic Service Providerisse.
Seansi jaoks loodud avaliku võtme näide:
Järgmisena imporditakse privaatvõti CSP-sse.
Seansi jaoks loodud privaatvõtme näide:
Ja viimasena tuleb RSA-8192. Peamine avalik võti salvestatakse krüpteeritud kujul (Base64 + RC4) PE-faili .data jaotisesse.
RSA-8192 võti pärast base64 dekodeerimist ja RC4 dekrüpteerimist fuckavi parooliga näeb välja selline.
Selle tulemusena näeb kogu krüpteerimisprotsess välja järgmine:
- Looge 128-bitine AES-võti, mida kasutatakse kõigi failide krüptimiseks.
- Looge iga faili jaoks IV.
- Võtmepaari loomine RSA-2048 seansi jaoks.
- Olemasoleva RSA-8192 võtme dekrüpteerimine base64 ja RC4 abil.
- Krüptige faili sisu esimesest sammust AES-128-CBC algoritmi abil.
- IV krüptimine avaliku võtme RSA-2048 ja base64 kodeeringuga.
- Krüpteeritud IV lisamine iga krüptitud faili lõppu.
- AES-võtme ja RSA-2048 seansi privaatvõtme lisamine konfiguratsioonile.
- Jaotises kirjeldatud konfiguratsiooniandmed nakatunud arvuti kohta krüpteeritakse peamise avaliku võtmega RSA-8192.
- Krüptitud fail näeb välja selline:
Krüpteeritud failide näide:
Nakatunud arvuti kohta teabe kogumine
Lunavara kogub nakatunud failide dekrüpteerimiseks võtmeid, et ründaja saaks tegelikult dekrüpteerija luua. Lisaks kogub Nemty kasutajaandmeid nagu kasutajanimi, arvuti nimi, riistvaraprofiil.
See kutsub esile funktsioone GetLogicalDrives(), GetFreeSpace(), GetDriveType(), et koguda teavet nakatunud arvuti draivide kohta.
Kogutud teave salvestatakse konfiguratsioonifaili. Pärast stringi dekodeerimist saame konfiguratsioonifailis parameetrite loendi:
Nakatunud arvuti konfiguratsiooni näide:
Konfiguratsioonimalli saab esitada järgmiselt:
{"Üldine": {"IP":"[IP]", "Riik":"[Riik]", "ComputerName":"[Arvutinimi]", "Kasutajanimi":"[Kasutajanimi]", "OS": "[OS]", "isRU": false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[Faili ID]_", "Kasutaja ID":"[ UserID]", "key":"[võti]", "pr_key":"[pr_key]
Nemty salvestab kogutud andmed JSON-vormingus faili %USER%/_NEMTY_.nemty. Faili ID on 7 tähemärki pikk ja genereeritakse juhuslikult. Näiteks: _NEMTY_tgdLYrd_.nemty. Faili ID lisatakse ka krüptitud faili lõppu.
Lunaraha sõnum
Pärast failide krüptimist ilmub töölauale fail _NEMTY_[FileID]-DECRYPT.txt järgmise sisuga:
Faili lõpus on krüpteeritud teave nakatunud arvuti kohta.
Võrgusuhtlus
Ironman.exe protsess laadib aadressilt alla Tori brauseri distributsiooni ja proovib seda installida.
Nemty proovib seejärel saata konfiguratsiooniandmeid aadressile 127.0.0.1:9050, kust ta loodab leida töötava Tor-brauseri puhverserveri. Vaikimisi kuulab Tori puhverserver siiski porti 9150 ja porti 9050 kasutab Linuxis Tor deemon või Windowsis Expert Bundle. Seega ei saadeta andmeid ründaja serverisse. Selle asemel saab kasutaja konfiguratsioonifaili käsitsi alla laadida, külastades lunakirjas toodud lingi kaudu Tori dekrüpteerimisteenust.
Tori puhverserveriga ühendamine:
HTTP GET loob päringu aadressile 127.0.0.1:9050/public/gate?data=
Siin näete avatud TCP-porte, mida TORlocal puhverserver kasutab:
Nemty dekrüpteerimisteenus Tor-võrgus:
Dekrüpteerimisteenuse testimiseks saate üles laadida krüpteeritud foto (jpg, png, bmp).
Pärast seda nõuab ründaja lunaraha. Tasumata jätmise korral on hind kahekordne.
Järeldus
Hetkel ei ole võimalik Nemty poolt krüpteeritud faile ilma lunaraha maksmata lahti krüptida. Sellel lunavaraversioonil on ühiseid jooni Burani lunavara ja vananenud GandCrabiga: koostamine Borland Delphis ja sama tekstiga pildid. Lisaks on see esimene krüpteerija, mis kasutab 8092-bitist RSA-võtit, millel pole jällegi mingit mõtet, kuna kaitseks piisab 1024-bitisest võtmest. Lõpuks ja huvitaval kombel proovib see kohaliku Tori puhverserveri teenuse jaoks kasutada vale porti.
Siiski lahendusi и takistada Nemty lunavara jõudmist kasutajate arvutitesse ja andmetesse ning pakkujad saavad oma kliente sellega kaitsta . Täielik pakub mitte ainult varundamist, vaid ka kaitset kasutades , tehisintellektil ja käitumuslikul heuristikal põhinev spetsiaalne tehnoloogia, mis võimaldab neutraliseerida ka seni tundmatu pahavara.
Allikas: www.habr.com